Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Facultad de Informática Tesis Doctoral Título Estrategia de Ciberseguridad distribuida, aplicando el concepto de Operación de Inteligencia Carrera Doctorado en Ciencias Informáticas Tesista Ing. Ignacio Martín Gallardo Urbini Directora Dra. Patricia Bazán Asesores Científicos Mg. Paula Venosa, Mg. Nicolás del Rio La Plata, Argentina. Año 2021 1 Índice Capítulo 1 - Presentación de Tesis 5 1.1 Resumen 5 1.2 Introducción 7 1.3 Objetivos y Aportes 10 1.4 Estado del Arte 11 1.5 Temas de Investigación y Desarrollo 15 1.6 Antecedentes de la Dirección y el Tesista 18 Capítulo 2 - Ciberseguridad, Ciberdefensa y Seguridad en Teleinformática 21 2.1 Introducción Histórica 21 2.2 Definición de Ciberespacio 23 2.3 Definición de Seguridad en Teleinformática 24 2.4 Definición de Ciberseguridad 24 2.5 Definición de Ciberdefensa 25 2.6 Problemas de los Sistemas Teleinformáticos 26 2.7 Amenazas a la Seguridad 26 2.8 Autoría de un Atentado en el Ciberespacio 28 2.9 Bases de la Seguridad 30 2.10 Procedimientos de Seguridad en Sistemas Teleinformáticos 30 2.11 Vulnerabilidad 31 2.12 OWASP Top Ten 32 2.13 Inyecciones 36 2.13.1 Cross-Site Scripting - XSS 37 2.13.2 Log4Shell 39 2.14 Consideraciones Generales 41 Capítulo 3 - Sistemas de Detección de Intrusos y/o Anomalías 43 3.1 Introducción Histórica 43 3.2 Definición de IDS o Sistema de Detección de Intrusos 45 3.2.1 Fuente de Información 46 3.2.2 Tipo de análisis 48 3.2.3 Tipo de detección 49 3.2.4 Tipo de respuesta 50 3.3 Honeypots 51 3.4 Detección de Anomalías 53 3.4.1 Naturaleza de los datos 58 3.4.2 Disponibilidad de los datos 59 2 3.4.3 Resultado o Salida 61 3.4.4 Métricas 62 3.5 Consideraciones Generales 69 Capítulo 4 - Inteligencia 73 4.1 Introducción Histórica 73 4.2 Definición de Inteligencia 75 4.3 Definición de Información 76 4.4 Áreas de la Inteligencia 76 4.5 Clasificación de la Inteligencia 77 4.5.1 Nivel Operacional 77 4.5.2 Nivel Estratégico 78 4.5.3 Nivel Táctico 78 4.5.4 Pertinencia Básica 78 4.5.5 Pertinencia Actual 79 4.5.6 Pertinencia Predictiva 79 4.6 Características de la producción de Inteligencia 80 4.7 Ciclo de Inteligencia 82 4.7.1 Fase 0 - Planeamiento y Dirección 82 4.7.2 Fase 1 - Recolección 82 4.7.3 Fase 2 - Procesamiento y Análisis 83 4.7.4 Fase 3 - Difusión 84 4.7.5 Fase 4 - Retroalimentación 85 4.8 Inteligencia Aplicada al Ciberespacio 86 4.9 Consideraciones Generales 87 Capítulo 5 - Arquitectura Propuesta 89 5.1 Consideraciones Iniciales 89 5.2 Fase 0 - Planificación y Dirección 91 5.3 Fase 1 - Recolección 92 5.4 Fase 2 - Procesamiento y Análisis 95 5.5 Fase 3 - Difusión 97 5.6 Fase 4 - Retro-Retroalimentación 98 5.7 Consideraciones Finales 98 Capítulo 6 - Puesta en escena y Demostración experimental 102 6.1 Consideraciones Iniciales 102 6.2 Ejecución de la Operación 111 6.3 Prueba Compleja 124 6.5 Prueba Adicional 126 6.4 Consideraciones Finales 127 3 Conclusiones 129 Trabajos a Futuro 132 Bibliografía y Referencias 133 4 Capítulo 1 - Presentación de Tesis 1.1 Resumen La evolución tecnológica de los últimos años en el campo electrónico y digital, ha transformado la industria, el comercio, el sector servicios y doméstico, el ámbito militar y nacional, generando una mayor demanda de transacciones ante la necesidad de interactuar por intermedio de redes de computadoras, almacenar información, administrar sistemas críticos y, en los últimos años, sostener la plataforma que habilita el trabajo remoto y las gestiones de trámites y servicios on line. En 1983, Fred Cohen, un estudiante graduado de la Universidad del Sur de California, ofrece una visión profética del futuro digital cuando demuestra un virus informático durante un seminario de seguridad en la Universidad Lehigh de Pensilvania. Cohen insertó su código de prueba de concepto en un comando de Unix y, a los cinco minutos de lanzarlo en una computadora central, obtuvo el control del sistema. En otras cuatro demostraciones, el código logró tomar el control en cuestión de segundos, evitando todos los mecanismos de seguridad vigentes en ese momento. Este programa de autorreplicación fue comparado con un virus biológico, acuñando así el término; donde era la primera vez que se definia la palabra “virus” aplicado a la computación, esta acepción resultaba extraña ya que el virus que por entonces estaba en boca de todos era aislado unos días para evitar su transmisión. Este, fue el primer paso para que un cuarto de siglo después, los virus informáticos se conviertan en una pandemia para la que no hay vacuna. Y desde ese momento, los ataques cibernéticos masivos a empresas y estados acapararon las noticias de todo el mundo hasta estos últimos años, poniendo en evidencia que todos están expuestos y pueden ser más vulnerables de lo que realmente se cree. La primera responsabilidad de cualquier gobierno es garantizar la seguridad, en cualquier contexto, ámbito o dimensión. Dado que las amenazas hacia la integridad y supervivencia de las naciones tienen desde un principio naturaleza militar, tradicionalmente, la seguridad de estas sociedades fue gestionada meramente por el sector de la defensa. No obstante, el constante cambio en el contexto, el surgimiento de nuevos riesgos, la naturaleza heterogénea de los factores que rodean al mundo, ha motivado a muchos estados a llevar a cabo una revisión de raíz y transformación de políticas de defensa y seguridad[119]. Por lo tanto, la invención de instituciones u organismos que velan por la seguridad en un marco de conflictos heterogéneos entre los estados, toma un rol sustancial en el campo de las relaciones internacionales[116]. Una de las opciones para abordar la problemática planteada utilizada con más frecuencia, fue la creación de organismos a cargo de la seguridad denominados servicios de inteligencia. Estos servicios, fueron apareciendo o formándose en todo lugar, entidad, 5 sociedad o estado que se ha topado con el requerimiento de proteger sus intereses ante potenciales amenazas, en donde el objetivo principal es proporcionar a los gobiernos por medio de procedimientos no convencionales información valiosa y seguridad integral, para así poder contribuir a que se ejecute la mejor decisión previniendo riesgos o disminuyendo el impacto de los mismos[116]. El accionar de los servicios de inteligencia responde a distintas instituciones, es decir, no están sujetas a una sola, pues varía de acuerdo a los intereses, capacidad y legislación de cada país. Además, los servicios de inteligencia sólo son legítimos cuando sus poderes excepcionales derivan de una legislación adecuada. Regular dicha actividad, resulta un elemento imprescindible para los estados. Es así como el accionar de los servicios de inteligencia, de igual manera, comprende un ciclo de actividades distribuidas llamada operación de inteligencia que contiene las siguientes fases: 1- Dirección y Planificación (donde se definen los requerimientos y recursos a utilizar), 2- Recolección (donde se recauda todos los datos e información necesaria para cubrir los requerimientos), 3- Procesamiento, Análisis y Producción (donde se produce la inteligencia requerida) y 4- Difusión (donde se da aviso a los tomadores de decisiones)[116]. En 1956, John McCarthy, Marvin Minsky y Claude Shannon en la Conferencia Dartmouth, introdujeron un concepto muy popular llamado inteligencia artificial; utilizado para describir la capacidad de las máquinas de decidir por sí mismas, refiriéndose principalmente a niveles de cómputo muy avanzados. En este sentido, se habla de un servicio de inteligencia artificial cuando se utilizan algoritmos que actúan por detección automática y son capaces de clasificar e interpretar una intencionalidad humana de manera desasistida de personas. La inteligencia artificial busca entonces, generar inteligencia real, crear métodos de aprendizaje de forma autónoma, como lo haría un humano. El desarrollo de un caso de operación de inteligencia para detectar fraudes en transacciones virtuales, podría comenzar con el clienteproveyendo los datos que ha recolectado de sus transacciones, y el módulo de inteligencia introduce estos datos para entrenar un algoritmo, luego se ejecutan simulaciones, cambiando la ponderación de distintas variables y calibrando los resultados cada vez que un cliente intenta hacer un fraude. Para ello se usan modelos de aprendizaje automático combinados con big data , lo que permite “entrenar” a los sistemas en tomar decisiones de manera inteligente y autónoma, para bloquear nuevas amenazas[117]. El objetivo de esta tesis entonces, es lograr un punto de convergencia conceptual entre Ciberseguridad, Detección de Anomalias, Aprendizaje Automático y conceptos de procedimientos dentro de las operaciones utilizadas por los Servicios de Inteligencia Gubernamentales para finalmente crear y construir un framework compuesto por módulos de aplicación práctica para la defensa dinámica ante amenazas denominado “Estrategia de Ciberseguridad distribuida, aplicando el concepto de Operación de Inteligencia”. 6 1.2 Introducción El origen de la inteligencia, como producto que resulta de la búsqueda, registro, análisis, evaluación, integración, comparación e interpretación de la información disponible que concierne a un decisor, ha ido estrechamente ligada al desarrollo de los pueblos, imperios y posteriormente de los estados. La inteligencia constituye un producto para reducir la incertidumbre que normalmente aparece en todo proceso de toma de decisiones en el nivel de decisión estratégica, o aquella decisión dentro de un contexto de conflicto, donde una persona razona y especula acerca de los fines y medios propios y ajenos, partiendo de la situación que se caracteriza por una gran incertidumbre, máxima abstracción, poco estructurada y sin que la persona tenga bien determinado el o los objetivos propios, y tan solo reconoce sus propios valores y los hechos que percibe de esa situación. En este nivel de decisiones, la inteligencia operacional es un producto de gran utilidad, porque con la aplicación de la misma, la persona puede reducir la incertidumbre y la complejidad de las situaciones que presenta todo conflicto, incluso anticiparse a estos. Asimismo, la implementación de operaciones de inteligencia ha marcado la guerra, y el desarrollo de ésta ha marcado la historia[118]. En el 3000 AC ya se encontraban las primeras muestras de la utilización de operaciones de inteligencia. En Mesopotamia, cuando Sargon I de Acad controlaba un importante territorio entre el Mediterráneo y el Golfo Pérsico, creó una red de “espías” utilizando mercaderes que le informaban de las características de los territorios y las civilizaciones que pretendía dominar[3]. En el Imperio chino se encontraba el primer tratado militar en el que se hacen referencias al espionaje aplicado a la recolección de información para producir inteligencia: el Arte de la guerra, de Sun Tzu, trata en alguno de sus pasajes sobre la importancia que tiene el conocimiento y la información producto de la producción de inteligencia antes de presentar batalla[2]. Revisando en el tiempo, desde la historia griega se puede observar cómo los habitantes de esta sociedad utilizaban a la inteligencia, como también lo hacía el Imperio persa. Es en este periodo cuando empiezan a desarrollarse sistemas de comunicaciones encubiertas y cifrados de mensajes. Se daba de esta forma un paso más allá en los métodos empleados hasta ahora, que no consisten más que en infiltrar exploradores en las filas enemigas para recolectar información para luego analizarla, producir inteligencia y aplicarla a la toma de decisiones estratégicas[4]. Otro claro ejemplo de los primeros usos de operaciones de inteligencia nace junto a la escritura de la biblia entre el 900 antes de cristo y el 100 después de cristo, donde se narra cuando Jacob envía a sus hijos a Egipto a explorar el territorio. Ellos son descubiertos y acusados de “espías”[1]. Durante siglos y siglos, los países han producido inteligencia con el fin de formular 7 respuestas adecuadas en relación a las amenazas o riesgos que puedan afectar la seguridad exterior e interior de la nación, como así también respecto de las actividades criminales que por sus características puedan afectar derechos fundamentales de sus habitantes. Previamente a la invención tecnológica, las operaciones de inteligencia se limitaban a tareas de exploración y la utilización de esteganografía para la codificación de mensajes. A finales de 1970 Estados Unidos lanzó por primera vez en la historia un satélite para tareas de reconocimiento y recabado de información. Por otro lado, el espionaje de la Unión Soviética descansó los satélites Yantar. Por lo tanto, estos fueron el embrión de operaciones de inteligencia sobre el espacio y mejoradas en tecnología, con sistemas de resolución avanzada para captar información. En la actualidad, el ciberespacio forma parte de un dominio de la guerra como también lo son el agua, aire y tierra (en otras palabras, marina, fuerza aérea, y ejército). La vida y los bienes de las personas dependen cada vez más de los sistemas de información. Las infraestructuras críticas de un país son objetivos estratégicos y pueden verse afectados durante cualquier conflicto entre sociedades y países, pero la naturaleza abstracta, impredecible, intangible e inmaterial del ciberespacio genera incertidumbre, por lo que puede hacer que la derrota, la victoria y el daño de una batalla sean imposibles de calcular, y es por esto que los encargados de la seguridad y tomadores de decisiones de hoy en día deben entender y abordar esta nueva amenaza mundial y disponer de herramientas para detectar de manera temprana cualquier comportamiento compatible con un ciberataque[10]. Analizando un enfoque más detallado de ciber-agresiones en las cuales la sociedad está inmersa, se comienzan a identificar desde el año 2007 distintas agresiones de gran magnitud, cuyas características fundamentales y predominantes han sido el daño causado por software a instalaciones físicas, como es el caso de la agresión de Rusia a Estonia, el Banco Nacional de Giorgia [51]puesto en jaque por Rusia[53] y la voladura de la planta de enriquecimiento de uranio – Irán[51][52]. Se verificaron además numerosos casos de ciberespionaje, implicando el robo de secretos tecnológicos muy relevantes de China a Estados Unidos, como también ciberespionaje de Estados Unidos a China. Los efectos de las agresiones en el ciberespacio se fueron incrementando por la escasa cantidad de recursos humanos, métodos, estrategias y herramientas disponibles que posibiliten la detección temprana de ciberataques. El crecimiento desmedido de Internet y la capacidad de acceder no solo al uso de dispositivos, sino a la información detallada correspondiente a distintos organismos, empresas y personas, hace aún más difícil la tarea de descubrimiento de actividades poco deseables u orientadas a ciberdelitos. El ciberespacio puede ser controlado sólo con personal capacitado, métodos, definición de estrategias y herramientas que lo permitan, herramientas que hagan posible la detección de ciber-agresiones respetando la privacidad de las personas. Existen numerosas herramientas desarrolladas de libre acceso y uso o bajo licenciamiento. Estas herramientas permiten ser ejecutadas en distintos dispositivos, en algunos con ciertas dificultades o incompatibilidad entre distintos sistemas operativos. Las prestaciones que brinda cada herramienta tiene funcionalidades genéricas y a veces insuficientes para cubrir las necesidades de los 8 distintos usuarios. Se observa también carencia de bases de datos o bases de conocimiento compartidas, conteniendo histogramas representativos de flujos de red correspondientes a distintos tipo de agresiones en el ciberespacio. Una estrategia es un esquema desarrollado para intentar alcanzar los objetivos que se han fijado. El objetivo de una estrategia defensiva en el contexto de la ciberseguridad es garantizar el continuo funcionamiento de los sistemas. Este objetivo se convierteen un fundamento básico que influye en el comportamiento global de los involucrados y debe ser guiado por una política clara y completa, apoyada desde la dirección. Es importante tener en cuenta que la victoria en una guerra a la defensiva consiste en anticiparse sistemáticamente a los ataques del enemigo. A pesar del esfuerzo que hacen los especialistas en ciberseguridad para implementar variadas herramientas de seguridad en las infraestructuras, éstas son extremadamente caras y no suficientes para protegerlas frente al cambiante panorama de ciber-amenazas que podrían impactar en sus activos. Las soluciones tradicionales de seguridad se enfocan principalmente en proteger el perímetro de interés, enfocándose así principalmente en las amenazas externas. Sin embargo, estas evolucionan constantemente, lo cual requiere que aquellos que deseen permanecer resilientes en sus operaciones deban mantenerse informados y un paso más delante de los atacantes. Para la definición de una estrategia defensiva de ciberseguridad se pueden emplear las mismas variables que se tienen en cuenta en la doctrina de la inteligencia aplicada a la seguridad nacional, en donde se presentan elementos de agresión similares a los analizados en un ciberataque: sabotaje, hostigamiento a la víctima en su propio terreno, uso de destacamentos irregulares con ataques rápidos y sorpresivos, clandestinidad, gran movilidad, bloqueos temporales de los canales básicos de comunicación y provisiones y secuestro/robo de activos. Ante este nuevo contexto de ciberamenazas avanzadas, en las cuales están involucrados grupos criminales y hacktivistas con intereses políticos y económicos, surge la motivación de iniciar esta línea de investigación con el fin de llevar a cabo el desarrollo de una estrategia de inteligencia o ciberinteligencia como elemento clave para reforzar la estrategia de la seguridad de la información. El objetivo general de esta tesis es abordar una reflexión sobre esquemas defensivos estáticos para luego proponer nuevas técnicas que nacen en la doctrina de la inteligencia y abordan la desigualdad entre las millones de amenazas de internet y objetivos específicos definidos especialmente para combatirlas, aplicando nuevos métodos de operaciones. Esta tesis estará conformada por seis secciones, en donde se comenzará en la primera sección con una presentación completa y detallada de la tesis. Luego, en la segunda parte se describirán conceptos esenciales de la ciberseguridad los cuales servirán de base para comprender las siguientes temáticas a tocar. En la tercera parte se desarrollarán los fundamentos de los Sistemas de Detección de Intrusos, Detección de Anomalías y aplicaciones existentes a la Ciberseguridad —cimientos que se utilizarán para luego desarrollar el caso de estudio de esta tesis—. La cuarta sección estará enriquecida con conceptos e historia de la Inteligencia, su doctrina y su relación con la ciberseguridad, 9 teoría esencial para entender los principios de funcionamiento de Estrategia, Defensa y Seguridad—columna vertebral de esta tesis—. En el quinto capítulo se presentará y desarrollará la “Estrategia de Ciberseguridad distribuida, aplicando el concepto de Operación de Inteligencia” propuesta en esta tesis, luegi en el capítulo 6 un caso de estudio con el objetivo de validar la misma. Finalmente, en la ultima sección se presentarán las conclusiones, trabajo a futuro, bibliografía y referencias. 1.3 Objetivos y Aportes Gran cantidad de personas en el mundo han estudiado ciencias informáticas, especializándose en seguridad de la información, ciberseguridad y ciberdefensa; no obstante, actualmente muchos son responsables de sectores relacionados con estas áreas de conocimiento en diferentes partes del mundo, incluyendo organismos gubernamentales, fuerzas armadas y/o grandes organizaciones privadas ligadas directamente a la sociedad y el estado. Sin embargo, de esta gran población, son contados los que han dedicado realmente su tiempo a practicar y estudiar tácticas y estrategias de inteligencia; tal vez es por esta razón la rareza de traer la seguridad de los sistemas de información para el campo de la inteligencia y hacer uso de estas antiguas técnicas. Esta línea de investigación y desarrollo tiene como objetivo general abordar una reflexión sobre esquemas defensivos estáticos para luego proponer nuevas técnicas que nacen en la doctrina de la inteligencia y abordan la desigualdad entre las millones de amenazas de internet y objetivos específicos definidos especialmente para combatirlas, aplicando nuevos métodos de operaciones. Cualquier líder de una estrategia de inteligencia, conocido por las fuerzas desiguales de la defensa no debe ser estático sino dinámico; observando y analizando al enemigo por medio de la recolección de datos distribuida en el campo de observación, técnicas de reunión, análisis de la información, intercambiando otros recursos por tiempo, y solo cuando hay un alto grado de certeza, entonces responder. En el caso específico de una operación de inteligencia, habrá un umbral por debajo del cual no se puede avanzar más, esta línea se llama “etapa de difusión”, y llega a ella aplicando una estrategia para garantizar la seguridad llamada “operación de inteligencia” y es lo que da lugar a esta propuesta de tesis. Entre los objetivos específicos de esta investigación se encuentran los siguientes: ● Aplicar tecnicas de operaciones de inteligencia a la ciberseguridad. ● Planificar y organizar la estrategia de seguridad defensiva aplicando operaciones de inteligencia con la finalidad de transformar la “estática” actitud defensiva actual por una innovadora y “dinámica”. ● Investigar, desarrollar e implementar componentes informáticos distribuidos en la red para la reunión de información, con el fin de mantener eficientemente el cuadro de situación de las amenazas tanto en la etapa de observación para el aprendizaje y 10 conocimiento del contexto hostil, como en el tiempo real del funcionamiento del sistema. ● Desarrollar e implementar un sistema inteligente aplicando conceptos de minería de datos y técnicas de aprendizaje automático que se nutren de la información obtenida por los componentes informáticos nombrados en el objetivo anterior. ● Evaluar e Implementar un modelo de aprendizaje automático para comprobar la propuesta de esta tesis. ● Converger en el despliegue de un sistema de detección temprana de patrones anómalos en la red, con el objetivo de tomar decisiones anticipadas a la materialización de una posible amenaza. El aporte original de esta línea de investigación se basa prácticamente en la propuesta de una estrategia de ciberseguridad aún no planteada formalmente ni estandarizada, sustentada por el conocimiento de operaciones de inteligencia para la defensa, y aplicado a un enfoque dinámico, para ante la existencia de un riesgo de amenaza, adelantarse a que la misma se haga efectiva. De esta forma, cambiar el enfoque actual, dejando de lado el antiguo concepto de defensa “amurallada”, por uno más innovador, en donde se infiltran recolectores de informaciòn o “espías” en “terreno desconocido” o red externa para extraer datos e información, aprender del contexto, analizar y detectar patrones, para luego de forma temprana y en tiempo real, poder tomar decisiones defensivas, disuasivas u ofensivas. 1.4 Estado del Arte Hoy en día, existen muchos proyectos que pretenden abordar funcionalidades similares a los de la propuesta de esta tésis, como por ejemplo la detección de ciberataques en tiempo real, detección de patrones en base al estudio del comportamiento, utilización de algoritmos de aprendizaje automatizado, realización de inteligencia de amenazas, detección de amenazas de día cero, reducción de falsos positivos, detección y alerta de amenazas en tiempo real, adaptamiento al comportamiento normal de la red de la organización, detección de comportamiento anormal, y adaptación a las amenazas cambiantes, de fácil configuración accesible para cualquiera, y simplearquitectura, con posibilidad de escalar de acuerdo a la infraestructura asignada. Estos proyectos cuentan con distinto tipo de evolución y se constituyen como proyectos, software, plataformas o herramientas. Su disponibilidad depende del tipo de licenciamiento, dado que no todos cuentan con versiones libres o con licencia académica para su evaluación. En ese sentido, los proyectos que no permiten acceso libre son evaluados y considerados desde la documentación disponible en el sitio web oficial del mismo. Dicho esto, se describen a continuación algunas de las soluciones que se consideran similares a la propuesta de esta tésis desde el punto de vista nombrado al principio de este párrafo: 11 ● Amplitude Behavioral Analytics, es un software de análisis de comportamiento que permite realizar un seguimiento de la actividad del usuario a través de plataformas y dispositivos que pretende obtener información fundamental para una visión precisa de su comportamiento de usuario. Amplitude proporciona análisis basados en eventos que miden las acciones que realizan los usuarios dentro de su producto. Un evento es cualquier acción distinta que puede realizar un usuario (como enviar un mensaje o comprar un artículo), o cualquier actividad asociada con un usuario (por ejemplo, recibir una notificación automática). Este software no está destinado a la detección de ciberamenazas, sino que está orientado la inteligencia de negocio negocio, donde se quiere conocer al usuario, para adaptarse y mantenerlo[5]. ● FireEye Threat Analytics (TAP - Thread Analytics Platform), plataforma orientada a la detección y a la investigación de incidentes y análisis de amenazas basada en la nube. TAP proporciona visibilidad en toda la empresa, experiencia en detección codificada y flujos de trabajo de investigación guiados para ampliar su defensa contra los ciberataques más sofisticados de la actualidad. Esta plataforma está especializada en el análisis y la investigación para la detección de ciberamenazas[11]. ● Munin, es un motor de detección de amenazas que aprovecha grandes volúmenes de datos de ataques históricos limitado a detectar Amenazas Persistentes Avanzadas (APT), pero también utiliza los datos en tiempo real de la organización para construir un modelo sofisticado de comportamientos normal de la red. Este enfoque de la seguridad cibernética basada en inteligencia artificial permite a Muninn identificar y detener los ataques de día cero[12]. ● C1fApp, es una aplicación open source de feed de amenazas (base de datos de amenazas), que proporcionan un solo feed. Proporciona tableros de estadísticas, API abierta para la búsqueda, útil y ejecutándose desde hace unos años. Las búsquedas que permite realizar son en base a datos presentes en la base de datos pertenecientes a históricos de amenazas[13]. ● Cymon, es una herramienta de monitoreo cibernético disponible gratuitamente y open source para tracear principalmente malware, botnets y phishing. Cymon ingiere diariamente más de 60.000 eventos y 17.000 direcciones IP de casi 200 fuentes en Internet para crear un perfil de amenaza y una línea de tiempo para direcciones IP, dominios y URL. Cymon provee la posibilidad de investigar fuentes sospechosas de ser maliciosas por medio del análisis de big data[14]. Esta herramienta se limita a la detección de dominios maliciosos, detección de pentesting pasivo por medio del análisis de logs en servidores Apache. ● REYES, es un sistema de alerta temprana desarrollado por InnoTec, ideado para ofrecer un modelo de intercambio para distintas organizaciones que internamente generan ciberinteligencia. REYES[129] aúna diferentes elementos de ciberinteligencia, con información de fuentes propias y otras herramientas como MARTA[130], LUCIA[131] y CARMEN[128], para dar una visión integradora a 12 todas las organizaciones que participan dentro de la red de monitorización del CCN-CERT[33]. ● Karma, es una herramienta de uso gratuito que permite a las organizaciones verificar cómo son vistos sus activos de internet por las plataformas de inteligencia de amenazas. Uno de los principales objetivos del proyecto es el de acercar tecnologías complejas de seguridad a las empresas que no tienen los recursos como para administrar soluciones complejas. Además de la Inteligencia de Amenazas, Karma realiza varias verificaciones para detectar situaciones posiblemente problemáticas, como configuraciones SSL inseguras, y fechas cercanas de vencimientos, tanto de dominios como de certificados SSL [34]. ● Yeti, es una plataforma destinada a organizar entidades y relaciones entre las mismas, permite definir indicadores de compromiso, TTP (técnicas, tácticas y procedimientos) y producir conocimiento sobre amenazas en un repositorio único y unificado. Yeti también enriquece automáticamente las entidades (por ejemplo, resolver dominios, geolocalizar direcciones IP) para que el usuario no tenga que realizarlo de forma manual. Esta plataforma ofrece al usuario una herramienta de análisis de inteligencia por medio de una interfaz gráfica para la construcción de grafos de contacto. Yeti, está orientado a organizar la información de manera que sea presentada lo mejor posible para la realización de análisis de inteligencia sobre ciberamenazas[50]. En la tabla 1, se comparan las características identificadas como las más relevantes entre las herramientas, plataformas y proyectos existentes y el framework propuesto en esta tesis. Proyecto o Herramienta Open source o de uso libre Detección de patrones o amenazas Etapa del Ciclo de Inteligencia Amenazas a detectar Resiliencia y Aprendizaje automático Amplitude Behavioral Analytics No Detección de patrones Recolección, Análisis y Difusión Pérdida de Clientes Ambas FireEye Threat Analytics No Detección de amenazas Análisis y Difusión Anomalías en general Ambas Munin No Detección de amenazas Recolección y Análisis APT Resiliencia C1fApp Si Detección de amenazas Recolección, Análisis, Difusión, Retroalimentación Dominios maliciosos Resiliencia Cymon Si Detección de amenazas Recolección, Análisis y Retroalimentación Malware, botnet y phishing Resiliencia REYES No Detección de amenazas Análisis y Difusión APT, spam botnet, Resiliencia 13 Proyecto o Herramienta Open source o de uso libre Detección de patrones o amenazas Etapa del Ciclo de Inteligencia Amenazas a detectar Resiliencia y Aprendizaje automático malware. Karma De uso libre Detección de amenazas Recolección, Análisis y Difusión Genérico Resiliencia Yeti No Detección de Amenazas Análisis Genérico Resiliencia Propuesta de esta Tesis Si Ambas Planificación, Recolección, Análisis, Difusión y Retroalimentación Adaptable a las necesidades del organismo Ambas Tabla 1: Tabla comparativa de características destacadas Antecedentes registrados en los últimos años de ciberataques: ● Adobe reconoce que el ataque informático sufrido puede afectar a 38 millones de usuarios: El ataque sufrido por Adobe fue el peor sufrido por la compañía, que ya ha admitido que los datos de al menos 38 millones de usuarios fueron robados además de códigos fuente de las principales aplicaciones de Adobe como Acrobat, Reader o Photoshop [46]. ● Un ataque informático afecta los servicios de Twitter, Spotify, Soundcloud y otros en Estados Unidos: Es un ataque de denegación de servicio contra Dyn, un servidor de DNS que hizo que estos servicios digitales quedarán inaccesibles para algunos usuarios. Servicios como Twitter, Spotify, SoundCloud y Shopify, entre otros, tuvieron problemas de funcionamiento por un ataque de denegación de servicio (DDOS) contra Dyn, un proveedor de DNS en Estados Unidos. El ataque también afectó al New York Times, Github, Reddit y Vox entre otros. No obstante, quienes entraban desde fuera del país no tuvieron problemas para usar el servicio; sí afectó a quienes intentaron acceder desde la costa este de Estados Unidos, o usar un servicio con servidores en esa zona. La compañía logró mitigar el ataque y volver todoslos servicios de Dyn a la normalidad por la mañana, pero pasado el mediodía se reanudó el ataque, según la compañía, lo que volvió a afectar la disponibilidad de esos servicios [45]. ● Chrysler retira casi un millón y medio de coches vulnerables a ataques: La noticia abarcó uno de los mayores temores que se ha hecho realidad: los coches pueden ser atacados a distancia. Los expertos Charlie Miller y Chris Valasek encontraron un fallo de seguridad en los sistemas Uconnect de Fiat Chrysler que los hace vulnerables a ataques. No sólo demostraron que se podía acceder a mecanismos como la radio o el limpiaparabrisas, sino que podían manipular incluso el sistema de frenos. La compañía distribuyó un parche en su web para los conductores, y ha proporcionado una actualización para algunos vehículos que bloquea el acceso 14 remoto no autorizado. Pero además, han retirado 1,4 millones de vehículos que podrían estar afectados por esta vulnerabilidad de su sistema Uconnect[44]. ● EEUU investiga un ataque informático contra varias empresas: El Gobierno estadounidense investiga una “actividad maliciosa” de varios ataques de denegación de servicio (DDoS) registrados contra los servidores de grandes empresas estadounidenses de internet como Twitter, Spotify, Github o el diario The New York Times. El incidente ocurrió a primera hora de la mañana en la costa este y duró unas dos horas, en las que las empresas de gestión de servidores como Dyn y Amazon Web Services intentaron contener los problemas de conexión con sus direcciones de DNS. Twitter confirmó que su servicio se mantuvo inaccesible en algunas partes del mundo durante dos horas “por fallos en la respuesta de servidores DNS”, similar a los problemas que detectaron Zendesk, una empresa de software de relación con clientes, o Github, el más popular repositorio de código y colaboración en programación[43]. ● Stuxnet - El virus que tomó control de mil máquinas y les ordenó autodestruirse: En enero de 2010, los inspectores de la Agencia Internacional de Energía Atómica que visitaban una planta nuclear en Natanz, Irán, notaron con desconcierto que las centrifugadoras usadas para enriquecer uranio estaban fallando. Curiosamente, los técnicos iraníes también parecían asombrados. El fenómeno se repitió cinco meses después en el país, pero esta vez los expertos pudieron detectar la causa: un malicioso virus informático[42]. ● Ciberataques a Stonia desde Rusia: El ciberterrorismo, del que Estonia afirma haber sido víctima por parte de Rusia, se desarrolla a nivel internacional pero los Gobiernos no han estado muy activos para protegerse frente a esta amenaza creciente, según los expertos. Estos ataques informáticos consisten en dejar sin servicio las redes de internet de administraciones o empresas[41]. 1.5 Temas de Investigación y Desarrollo Para poder federar los conceptos de ciberseguridad e inteligencia, se realiza al principio un análisis de la doctrina de inteligencia haciendo hincapié en las etapas incluidas en el ciclo de vida de la inteligencia que pueden dar origen a esta área de conocimiento dentro de la ciberseguridad. Al realizar este paso, surgen las ideas de asociación de conceptos que se siguen en el transcurso del trabajo para poder aplicar tácticas originarias en la operación de inteligencia a la ciberseguridad, dando como resultado los siguientes ítems para la elaboración de esta investigación: ● Diseñar el esquema dinámico de ciberseguridad: acá queda definida la esencia de la defensa planteada inicialmente. Para asociarla con la operación de inteligencia, un esquema diseñado en etapas de operaciones, donde se realizan diferentes 15 procedimientos que convergen en la ganancia del factor tiempo para anticiparse a la actividad enemiga. ● Entender la ciberseguridad contemporánea: como tarea primera a la presentación de la propuesta, se cree necesario estudiar y describir la situación actual de la ciberseguridad, exponiendo las principales debilidades que presentan los métodos tradicionales de defensa. ● Obtener información de las amenazas: con el fin de tener conocimiento absoluto, estado y situación actual del contexto, se recolectan datos e información por medio de sensores distribuidos (Honeypots) desplegados en diferentes puntos estratégicos de la red. Para lograr esto se debe analizar la viabilidad de desarrollar sensores propios o utilizar ciertos existentes y adaptarlos al objetivo de esta tesis. También se estandariza una interfaz de recepción de información de amenazas con el objetivo de estar abierto a fuentes externas y potencialmente consumir datos de soluciones multivendor. ● Analizar la información y detectar patrones: desarrollar un componente basado en conocimiento experto para construir un sistema inteligente capaz de detectar comportamientos anómalos y clasificarlos en tiempo real. Para llegar a este objetivo, se deberá inicialmente analizar y estudiar los diferentes algoritmos existentes y optar por uno o varios modelos e integrarlo en el desarrollo del sistema de aprendizaje automático. ● Procesar volúmenes de información creciente: desarrollar un módulo de software encargado de pre-procesar toda la información necesaria para el entrenamiento del software de conocimiento experto. ● Planificar e implementar la estrategia de ciberseguridad aplicada a la doctrina de inteligencia: la metodología de planificación, organización y seguimiento de una operación de inteligencia se inicia por medio del denominado "Requerimiento de información", que responde a una estructura que tiene en cuenta hasta los detalles más significativos de toda la operación y lleva miles de años de aprendizaje y mejora. En virtud de esta idea es que se desarrolle un requerimiento de información ajustado a esta actividad de ciberseguridad como parte de la investigación. Cada uno de estos puntos son los que se llevarán a cabo en el desarrollo de la investigación, para evaluar la factibilidad de ejecutar una operación de ciberinteligencia aplicada a la ciberseguridad denominada "Estrategia de Ciberseguridad distribuida, aplicando el concepto de operación de inteligencia". Para validar la propuesta, poner en práctica la estrategia y probar el funcionamiento, se aborda el desarrollo e implementación de una arquitectura de sistemas que está compuesta por diferentes componentes de software. Por un lado se implementa la red de sensores (carnadas) “espías” encargados de la recolección de información sobre la actividad de la red. Estos mismos tienen la propiedad de simular comunicaciones convencionales entre sí y al mismo tiempo poder reportar en tiempo real al sistema de conocimiento experto. 16 Por otro lado, se debe abordar el desarrollo de un prototipo de herramienta para contribuir en la detección de comportamientos compatibles con ciberataques o de ciberamenazas. Aquí entra en juego el procesamiento y análisis de la información, invocando los diferentes algoritmos de aprendizaje automático, convergiendo así en un sistema de conocimiento experto y su implementación en tiempo real. También se deberán abordar los siguientes requerimientos: ● Observar el comportamiento de la herramienta bajo distintas situaciones de ciberataques. Para lograr esto, se deberá realizar el desarrollo de un sistema de alertas. ● Disponer de facilidad operativa y actualizable de la herramienta: Con mecanismos de aprendizaje y entrenamiento a medida que se incrementa su uso. ● Observar gráficos de métricas: comparando los valores obtenidos provenientes de los flujos de red donde se encuentre instalado el sistema de monitoreo. ● Identificar patrones de comportamientos: según las gráficas observadas, asociadas con distintas etapas de ciberataques y clasificar las amenazas. Como se planteó anteriormente, toda solución de seguridad va a estar atada a la decisión estratégica a utilizar. No obstante, optar por tácticas y estratégias aplicadas a la doctrina de inteligencia, aporta dinamismo y un gran valor agregado al momento de la defensa. Este trabajo de investigaciónadopta una metodología cualitativa para el desarrollo desde cero de la arquitectura de seguridad junto a los componentes integrantes de la misma, de forma tal de poder lograr dicha estrategia. Las medidas actuales de seguridad no están a la altura de las polimórficas amenazas, por lo tanto se debe plantear una nueva línea de pensamiento. Un ejemplo muy concreto de esto es Cloudflare[109], una plataforma muy utilizada hoy en día por muchas grandes empresas, como domain name service, content delivery network y firewall de aplicación. Esta plataforma permite bloquear herramientas de escaneo o enumeración por medio de la detección de User-Agent presentes en las requests, pero si la herramienta automatizada configura un User-Agent distinto, la plataforma Cloudflare no detectará ni bloqueará esta actividad. Se reitera que lo realmente crítico, es el absoluto desconocimiento del adversario en cuanto a su ubicación, magnitud, recursos, comportamiento y capacidades, de lo que surge el primer desbalance de fuerzas. Por otra parte, al estudiar las actividades de defensa y seguridad en el transcurso de la historia, no se encuentran registros de alguna fortaleza invulnerable. Dados estos dos aspectos, se propone analizar la ciberseguridad desde una mirada del dinamismo e inteligencia, es decir dejando de lado la actual concepción de defensa estática y centralizada materializadas en IDS, IPS, o Firewalls. La doctrina de la inteligencia con su milenaria experiencia en recolección, análisis de información y toma de decisiones, plantea un escenario de operaciones particular, en donde toma protagonismo el motivo de esta investigación llamada "Estrategia de Ciberseguridad aplicando el concepto de operación de inteligencia". Este procedimiento justamente está pensado para contextos en los cuales la amenaza es superior a la víctima, 17 donde existe escasa información del mismo, y en virtud de este desequilibrio es por lo que se planifica "ceder recursos por tiempo, para poder conocer las amenazas, adelantarse a los hechos y tener una panorámica del contexto clara y definida". 1.6 Antecedentes de la Dirección y el Tesista Patricia Bazán (Directora de la Tesis): Es Analista de Computación y Licenciada en Informática graduada en la Universidad Nacional de La Plata. Es Doctora en Ciencias Informáticas graduada en la Facultad de Informática UNLP en 2015. Es Magister en Redes de Datos graduada en la misma unidad académica en 2010, desarrollando sus trabajos en los temas de Procesos de Negocio, Servicios Distribuidos y metodologías para la integración de procesos y servicios. Se desempeña como profesor titular de Desarrollo de Software en Sistemas Distribuidos dentro de las carreras de grado de la Facultad de Informática de la UNLP y es docente e integrante del comité académico de la Maestría en Redes de Datos de la misma casa de estudios. Como docente de la maestría dicta la asignatura Sistemas Distribuidos. Posee numerosas participaciones en congresos internacionales y trabajos publicados en conferencias y congresos con referato nacional e internacional. Actualmente integra el proyecto “Internet del Futuro: Ciudades Digitales Inclusivas, Innovadoras y Sustentables, IoT, Ciberseguridad, Espacios de Aprendizaje del Futuro” con un cargo de Profesor Titular con Dedicación Exclusiva. El proyecto se encuentra enmarcado dentro del Programa de Incentivos a la Investigación del Ministerio de Educación de la Nación, contando con la categoría III como docente-investigador del mencionado programa. Ha liderado proyectos en el ámbito privado conduciendo equipos de desarrollo de software desde 1995 y también ha dirigido a estudiantes para la concreción de sus tesis de grado en temas vinculados a BPM, SOA, composición de servicios y modelado orientado a procesos y servicios. Ha sido Consultor en proyectos financiados por el Banco Mundial y el BID. Ha dirigido, y continúa haciéndolo, varias tesinas de grado y postgrado en la Facultad de Informática de la UNLP. Dirige becarios de investigación y de extensión dentro del LINTI (Laboratorio de Investigación en Nuevas Tecnologías Informáticas) de la Facultad de Informática de la UNLP. 18 Paula Venosa (Asesora Científica de la Tesis): Es Magister en Redes de Datos, Licenciada en Informática y Analista de Computación graduada en la Universidad Nacional de La Plata. Es Profesora Adjunta con Dedicación exclusiva de la Facultad de Informática de la UNLP, especialista en Redes y Seguridad de la información, área en la cual desarrolla sus tareas de investigación y docencia tanto en grado como en postgrado, así como en proyectos de transferencia y extensión. Desde el año 2002 es docente de diversos cursos de postgrado en el marco de la Maestría en Redes de Datos de la Facultad de Informática de la UNLP y del doctorado en Informática de dicha casa de estudios. Coordina y lleva adelante distintos proyectos relacionados a la seguridad, como CERTUNLP (CSIRT Académico de la UNLP) y UNLP PKIGrid (Infraestructura de clave pública para e-Ciencia de Argentina, representando a la UNLP en TAGPMA, organización que acredita las PKIs de las Américas y es Chair del capítulo Latinoamericano en ese marco). Durante los últimos 15 años ha realizado diversos cursos y capacitaciones, tanto en el ámbito público como privado. El enfoque de los mismos siempre ha sido la administración de redes y la seguridad de la información. Ha dirigido becarios, tesinas y trabajos de especialización en este campo de conocimiento. Nicolás del Rio (Asesor Científico de la Tesis): Es Analista de Computación graduado en la Universidad Nacional de La Plata. Es Magister en Redes de Datos graduado en la misma unidad académica en 2016, desarrollando sus trabajos en los temas de Diseño e Implementación de una solución de administración de tráfico de red basada en DNS y chequeos de disponibilidad. Se desempeña como profesor adjunto de las materias Introducción a los Sistemas Operativos y Sistemas Operativos dentro de las carreras de grado de la Facultad de Informática de la UNLP y Sistemas Distribuidos dentro de la Maestría en Redes de Datos de la misma casa de estudios. Como docente de la maestría dicta también otros seminarios de postgrado. Durante los últimos 10 años ha realizado diversos cursos y capacitaciones, tanto en el ámbito público como privado. El enfoque de los mismos siempre ha sido la administración de sistemas, implementación de redes y configuración de dispositivos de seguridad, obteniendo en algunos casos certificaciones internacionales. Es responsable del diseño, administración e implementación de políticas de seguridad en toda la red de datos de la Agencia de Recaudación de la Provincia de Buenos Aires y aplica técnicas y tecnologías de última generación. 19 Ignacio Martín Gallardo Urbini (Tesista - Doctorando): Es Analista en Sistemas, Licenciado en Sistemas e Ingeniero en Informática graduado en la Universidad de Palermo. Es Especialista en Criptografía y Seguridad en Teleinformática graduado de la Facultad de Ingeniería del Ejército Argentino. Es Especialista en Redes y Seguridad y Magister en Redes de Datos graduado de la Universidad Nacional de La Plata. Actualmente se encuentra redactando la tesis final de la Maestría en Ciberdefensa de la Universidad de la Defensa Nacional, por otro lado se encuentra cursando la Maestría en Gestion de Ciberseguridad de la Universidad Europea Miguel de Cervantes y la Escuela Internacional de Postgrados, y también es doctorando del Doctorado en Ciencias Informáticas en la Facultad de Informática de la Universidad Nacional de la Plata. Durante los últimos 10 años ha orientado su carrera hacia un punto de convergencia entre la Ciberseguridad, Desarrollo de Software y Telecomunicaciones por medio de la realización de diferentes grados, postgrados, cursos de capacitación y experiencia laboral, ocupando diferentes roles orientados a la investigación, desarrollo de software, ciberseguridad y telecomunicaciones tanto en empresas privadas como en laboratoriosde I+D del Ejército Argentino y en organizaciones gubernamentales para la defensa Nacional. Hasta la fecha, a realizado las siguientes publicaciones: ● 04/2017 WICC (XIX Workshop de Investigadores en Ciencias de la Computación): Arquitectura de Seguridad por Capas en Sistemas Críticos. ISBN: 978-987-42-5143-5. ● 04/2019 WICC (XXI Workshop de Investigadores en Ciencias de la Computación): Metodología para el Análisis de Incidentes de Ciberseguridad o Ciberataques durante las acciones de Ciberdefensa de las Infraestructuras Críticas de la Defensa Nacional. ISBN: 978-987-3619-27-4. ● 06/2019 RISTI (Revista Ibérica de Sistemas y Tecnologías de Información): Arquitectura de Certificados Digitales: de una arquitectura jerárquica y centralizada a una distribuida y descentralizada. ISSN: 1646-989. DOI: 10.17013/risti.32.49–66. ● 10/2019 CACIC (XXV Congreso Argentino de Ciencias de la Computación): Análisis del anonimato aplicado a criptomonedas. ISBN: 978-987-688-377-1. ● 10/2019 CACIC (XXV Congreso Argentino de Ciencias de la Computación): Detección de canales encubiertos en la capa de red. ISBN: 978-987-688-377-1. ● 07/10/2021 JCC-BD&ET2021 (9° Jornadas de Cloud Computing, Big Data & Emerging Topics): Distributed Cybersecurity Strategy, applying Intelligence Operation concept through data collection and analysis. ISBN: 978-950-34-2016-4. ● 25/06/2022 CISTI'22 (17° Conferencia Ibérica de Sistemas y Tecnologías de la Información): Distributed Cybersecurity Strategy, applying Intelligence Operations Theory. DOI: 10.23919/CISTI54924.2022.9820426. 20 Capítulo 2 - Ciberseguridad, Ciberdefensa y Seguridad en Teleinformática 2.1 Introducción Histórica Con el fin de combatir los delitos y movimientos laborales tan comunes, ya a principios del siglo XX la seguridad comienza a identificarse como una de las funciones principales de las organizaciones, promovida en 1919 por el teórico y pionero de la administración Henry Fayol, luego de la técnica comercial, financiera, contable y directiva. Al definir el objetivo de la seguridad, Fayol se refirió a: "salvaguardar activos contra el robo, fuego, inundación, contrarrestar huelgas y traiciones por parte del personal, y de forma amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del negocio." Las medidas de seguridad a las que se refería Fayol, no sólo se restringía exclusivamente a los materiales físicos de la instalación, sino también al personal perteneciente a la infraestructura de las organizaciones. Los requerimientos de seguridad en las organizaciones han sufrido dos cambios importantes en las últimas décadas. El primero surge con la introducción de las computadoras, ya que la necesidad de herramientas automatizadas para la protección de archivos y otra información almacenada se fue haciendo evidente. El segundo cambio surge con la aparición de los sistemas distribuidos, así como el uso de redes e instalaciones de comunicaciones para enviar información entre un servidor y una computadora o entre dos computadoras. Aquí la seguridad deja de tratarse desde el punto de vista computacional para abarcar también los aspectos de las telecomunicaciones. Actualmente, la informática y las comunicaciones se encuentran en un grado tan alto de integración que es muy difícil determinar con exactitud cuál es la frontera entre estas disciplinas. Las tecnologías usadas para abordar los problemas de comunicaciones y los de informática son exactamente las mismas y cada vez tienen mayor capacidad no solo de cómputo sino también de cambio. No solo la cantidad heterogénea de dispositivos que integran las infraestructuras de acceso teleinformático se ha multiplicado astronómicamente, sino también el tiempo en el que estos mismos se encuentran conectados y transfiriendo grandes volúmenes de información entre sí. No obstante, para que estas interacciones pudieran mantener los requerimientos de legitimidad ante la presencia de severas amenazas, la ingeniería en seguridad también tuvo que dar un gran giro. 21 Hoy en día, como bien ha sido nombrado en la introducción de esta tesis, la seguridad es la primer responsabilidad de los estados en cualquiera de sus aspectos, donde desde el principio de los tiempos ha sido principalmente administrada por el sector militar ya que los principales riesgos acechaban de forma física a la integridad de la población. No obstante, la aparición de nuevos riesgos de toda naturaleza ha provocado que muchos gobiernos de nuestro entorno geopolítico estén llevando a cabo una profunda revisión y transformación de sus políticas de defensa y seguridad[119]. Dicha transformación se somete a un cambio en el marco rector de la seguridad, especialmente, por tres razones. Primero, la seguridad de los estados ya no está restringida a la defensa de sus fronteras y su soberanía, sino que también debe garantizar el bienestar de la sociedad frente a los nuevos riesgos. Segundo, la globalización fomenta riesgos y amenazas transfronterizos, como la proliferación de sus políticas de armas de destrucción masiva, el terrorismo, o el cibercriminalismo. Por último, la existencia actual de actores de orígenes y motivaciones diversas con voluntad de desafiar el estado de derecho y el orden internacional con capacidad de actuar en cualquiera de las dimensiones de la seguridad, complica la atribución de las agresiones y disminuye la capacidad de respuesta de los estados agredidos[119]. Este nuevo modelo de seguridad conlleva la necesidad de identificar anticipadamente los riesgos, es decir, necesita evolucionar de la actual cultura reactiva a una de prevención y resiliencia[119]. La globalización se manifiesta con la libertad de movimientos de personas, mercancías, servicios y capitales proporcionando una evolución hacia la seguridad lineal donde ya no aplica la separación entre la seguridad interior y exterior, entre la política de defensa y la de interior y entre lo público y lo privado. Por lo tanto, la seguridad nacional ya no se identifica con un tipo de defensa o seguridad, no es responsabilidad de un ministerio en específico, ni se divide en un escenario exterior o interior, o con un enfoque preventivo o reactivo, sino con todos ellos de forma omnicomprensiva[119]. La aparición del ciberespacio y el requerimiento de resguardarlo y asegurarlo, han promovido que esta evolución en el modelo de la seguridad se haya apresurado[119]. 22 2.2 Definición de Ciberespacio El ciberespacio, se define como el conjunto de medios y procedimientos basados en las tecnologías de información y comunicación configuradas para la prestación de servicios. Este mismo, ya forma parte de la sociedad, economía, e incluso, puede llegar a ser factor determinante de la evolución cultural. El ciberespacio está constituido por hardware, software, servicios y sistemas de control que garantizan la provisión de aspectos esenciales para la actividad socio-económica de cualquier país, y en especial aquellos ligados a sus infraestructuras críticas[119]. Ilustración 1: Capas y Componentes del Ciberespacio Como se aprecia en la Ilustración 1, la capa física abarca el componente geográfico y el componente de las redes físicas. El primer componente está formado por el hardware e infraestructura que soportan las redes y sus conectores físicos (cifradores, cableado, switches, routers, computadoras, servidores, etc.). La capa lógica está formada por el componente de redes lógicas que son ni más ni menos que los protocolos de comunicación entre los nodos de las redes, entendiendo por nodo a cualquier dispositivo que está conectado a las redes de comunicaciones y sistemas de información. Por último, la capa social está formada por la relación entre los componentes interfaces y ciberidentidad, donde el primero está formado por personas que interactúan con el ciberespacio. La relación entre individuos y ciberidentidades puede ser de uno a muchos y de muchos a uno, es decir, una persona puede disponer de una o más ciberidentidades y una ciberidentidadpuede ser utilizada por uno o más individuos. Estas ciberidentidades podrían ser legítimas o suplantadas, lo que proporciona cierto anonimato en acciones ejecutadas en el ciberespacio, haciendo esto más difícil relacionar de manera unívoca a una ciberidentidad con una persona. Las ciberidentidades están constituidas, entre otros, por cuentas de correo electrónico, cuentas de usuarios o perfiles en redes[119]. 23 2.3 Definición de Seguridad en Teleinformática La seguridad en teleinformática se define como el área de conocimiento relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en un sistema informático o circulante a través de las redes de computadoras[48]. El objetivo primordial de la seguridad en teleinformática prevalece en el establecimiento de normas que disipen potenciales riesgos y eviten posibles amenazas a la información o infraestructura informática. Puesto que el propósito de los sistemas teleinformáticos no es otro que almacenar, procesar y transmitir información, consideramos entonces que un sistema teleinformático es seguro si maneja de forma correcta la información. Cabría entonces preguntarse cuáles son las condiciones que debe cumplir la información para que podamos determinar su calidad y para, en un paso posterior, determinar qué se podría hacer para garantizarla. Los sistemas teleinformáticos generalmente incorporan medidas para garantizar cierto grado de seguridad en diferentes niveles. 2.4 Definición de Ciberseguridad Años atrás, la ciberseguridad se enfocaba en la protección de la información, donde solamente se trataba de proteger accesos, usos, revelaciones, interrupciones, modificaciones o destrucciones no autorizadas. Hoy en día, esta mirada ha evolucionado hacia la gestión de riesgos del ciberespacio, donde la ciberseguridad consiste en la aplicación de un proceso de análisis y gestión de los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información a datos y los sistemas y procesos usados basándose en los estándares internacionales[119]. Una de las principales razones para este nuevo enfoque es la caracterización del ciberespacio de una determinada entidad como una aplicación que brinda servicios, de forma que la seguridad de la misma se logra cuando la aplicación se encuentra en un estado de riesgo conocido y controlado[120]. La ciberseguridad de una nación requiere al menos plantear dos dimensiones. La primera, cubre la protección de bienes, servicios, libertades, activos y derechos dependientes de la jurisdicción estatal. La segunda dimensión, tiene que ver con la responsabilidad compartida con otros estados, bilateralmente o a través de organismos reguladores de la ciberseguridad. La dificultad principal estriba en lograr que la agregación de soluciones parciales aplicadas por los estados, aunque se haga de forma coordinada, resuelva los problemas globales creados por unas tecnologías que derriban fronteras. El ciberespacio está en continuo crecimiento y evoluciona cada vez de forma más acelerada, alcanzando una permeabilidad tal que permite mantener las relaciones y dependencias económicas, sociales y culturales, que son esenciales para el crecimiento y 24 https://es.wikipedia.org/wiki/Inform%C3%A1tica https://es.wikipedia.org/wiki/Telem%C3%A1tica https://es.wikipedia.org/wiki/Informaci%C3%B3n https://es.wikipedia.org/wiki/Inform%C3%A1tica desarrollo de un país. En conclusión, la ciberseguridad debe formularse proactivamente como un proceso continuo de análisis y gestión de los riesgos asociados al ciberespacio[119]. 2.5 Definición de Ciberdefensa Dada esta creciente dependencia del ciberespacio, la fortificación de su infraestructura, la ciberseguridad de sus componentes lógicos, las interacciones que presentan con los humanos, y toda la adecuada gestión de riesgos que esto acarrea, se ha transformado en una de las más importantes preocupaciones contemporáneas con una prioridad a nivel global. Infraestructuras críticas que abarcan desde servicios básicos, industrias, transportes, administración de la defensa nacional y el estado, entre muchas más, son susceptibles a ser atacadas en el ciberespacio, amenazando así la estabilidad, seguridad y soberanía de los países de diferentes formas. El ámbito de la defensa nacional, hoy considera al ciberespacio como un nuevo ambiente en el que se desenvuelven conflictos de diversas naturalezas, nacionales e internacionales, por lo que esto se traduce en la definición del ciberespacio como una dimensión diferente al espacio terrestre, aéreo y marítimo, que requiere contar con las políticas, planificaciones y capacidades que permitan ejercer los roles propios de la defensa nacional bajo este contexto. Esto lleva a que las Fuerzas Armadas y el Ministerio de Defensa de los países den una respuesta global e integral a este importante desafío, coordinando con los actores que operan el ciberespacio y en el espectro electromagnético, las operaciones militares en el ámbito del ciberespacio y su integración con el resto de las capacidades operativas, así como su estructura de mando y control, el marco legal de actuación y la imprescindible integración con el resto de actores civiles y militares a nivel nacional e internacional; todo ello para orientar el desarrollo de las capacidades necesarias para enfrentar la amenaza del hoy y del mañana. La ciberdefensa entonces se define como el conjunto de acciones y/u operaciones activas o pasivas desarrolladas en el ámbito de las redes, sistemas, equipos, enlaces y personal de los recursos teleinformáticos de la defensa a fin de asegurar el cumplimiento de las misiones o servicios para los que fueran concebidos[114], y a la vez que se impida que fuerzas enemigas los utilicen para cumplir los suyos. Así mismo, la ciberdefensa del ciberespacio, va de la mano con las capacidades de responder fuera de las propias infraestructuras o sistemas que se defienden, dónde esta respuesta que podría ser inmediata, mediata o planificada, es ejecutada por las Fuerzas Armadas. En el caso de la República Argentina, es el Comando Conjunto de Ciberdefensa del Estado Mayor Conjunto de las Fuerzas Armadas[46] coordinado con el Centro Nacional de Ciberdefensa del Ministerio de Defensa[47], el organismo que se encargan de garantizar un acceso libre al ciberespacio y dar una respuesta ante amenazas o agresiones que puedan 25 afectar a la Defensa Nacional. También obran para garantizar la disponibilidad, integridad y confidencialidad de la información y en la cooperación en materia de Ciberdefensa a nivel Internacional. Esta actividad actualmente se encuentra regulada por las Leyes de Defensa Nacional[55], de Seguridad Interior[56], de Reestructuración de las Fuerzas Armadas[57] y la ley de Inteligencia Nacional[58]. 2.6 Problemas de los Sistemas Teleinformáticos Cualquier situación en la vida está sujeta a la ocurrencia de situaciones no deseadas. En particular todos los sistemas informáticos están sujetos a la posibilidad de experimentar un funcionamiento anómalo, ya sea de manera accidental o provocada. Para identificar estas situaciones, se definirán ciertos términos a modo de proporcionar facilidad en el entendimiento de dichos fallos en el funcionamiento deseado: ● Daño: perjuicio que se produce cuando un sistema informático falla. ● Ataque: acto deliberado de intentar provocar un daño. ● Riesgo: producto entre la magnitud de un daño y la probabilidad de ocurrencia del mismo. ● Amenaza: situación de daño cuyo riesgo de producirse es significativo. ● Vulnerabilidad: deficiencia de un sistema totalmente susceptible de producir un fallo en el mismo. ● Exploit: técnica que permite el aprovechamiento de una vulnerabilidad. Los objetivos de los ataques informáticos se clasifican en tres grandes grupos: ● Sector Privado. Dentro del mismo se incluyen a los encargados de las infraestructuras críticas. ● Ciudadanos. ●Gobiernos. 2.7 Amenazas a la Seguridad No sólo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o procesamiento deben ser consideradas, también hay otras circunstancias no informáticas que deben ser tomadas en cuenta. Muchas son, a menudo, imprevisibles o inevitables y estas pueden ser causadas por: ● Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados o no se les han restringido acciones innecesarias, por ejemplo. ● Programas maliciosos o Malware: programas destinados a perjudicar o hacer un uso indebido de los recursos del sistema. Se instalan en el ordenador, abriendo una 26 puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware. ● Errores de programación: la actualización de versiones, buenas prácticas en el desarrollo, aplicación de metodologías de desarrollo seguro de software y ajustes en configuración de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas. ● Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers). ● Siniestros (robo, incendio, inundación): una mala manipulación o mala intención derivan en la pérdida del material o de los archivos. ● Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo. Los motivos de amenaza que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje. ● Fallos electrónicos o lógicos de los sistemas informáticos en general. ● Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos. El hecho de conectar una red a un entorno externo da la posibilidad de que algún atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red. Sin embargo, el hecho de que la red no esté conectada a un entorno externo, como Internet, no garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI, por sus siglas en inglés) de San Francisco, aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque se puede decir que existen dos tipos de amenazas: ● Amenazas internas: generalmente estas amenazas pueden ser más serias que las externas, por varias razones como: ● Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, entre otros. Además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite mínimos movimientos. ● Los sistemas de prevención de intrusos o IPS (por sus siglas en inglés intrusion protection system) y firewalls son mecanismos no efectivos en amenazas internas por no estar, habitualmente, orientados al tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia. ● Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacar. La 27 https://es.wikipedia.org/wiki/Virus_inform%C3%A1tico https://es.wikipedia.org/wiki/Gusano_inform%C3%A1tico https://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica) https://es.wikipedia.org/wiki/Bomba_l%C3%B3gica https://es.wikipedia.org/wiki/Spyware https://es.wikipedia.org/wiki/Malware https://es.wikipedia.org/wiki/Cracker https://es.wikipedia.org/wiki/Defacer https://es.wikipedia.org/wiki/Hacker https://es.wikipedia.org/wiki/Robo https://es.wikipedia.org/wiki/Incendio https://es.wikipedia.org/wiki/Inundaci%C3%B3n https://es.wikipedia.org/wiki/Espionaje https://es.wikipedia.org/wiki/Rayo https://es.wikipedia.org/wiki/Terremoto https://es.wikipedia.org/wiki/Inundaci%C3%B3n https://es.wikipedia.org/wiki/Rayos_c%C3%B3smicos https://es.wikipedia.org/wiki/Internet https://es.wikipedia.org/w/index.php?title=Computer_Security_Institute&action=edit&redlink=1 https://es.wikipedia.org/w/index.php?title=Computer_Security_Institute&action=edit&redlink=1 https://es.wikipedia.org/wiki/Informaci%C3%B3n https://es.wikipedia.org/wiki/Sistema_de_Prevenci%C3%B3n_de_Intrusos ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos. El tipo de amenazas según el efecto que causan a quien recibe los ataques podría clasificarse en: ● Espionaje. Abarcando desde espionaje de estado hasta espionaje industrial. ● Robo y publicación de información clasificada o sensible. ● Robo y publicación de datos personales. ● Amenazas persistentes avanzadas (APT, por sus siglas en inglés advanced persistent threat). ● Destrucción de información. ● Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, entre otros. ● Robo de dinero, estafas. ● Anulación del funcionamiento de los sistemas o efectos que tiendan a ello, que pueden incluir ataques a infraestructuras críticas, contra redes y sistemas, contra servicios de internet, sistemas de control y redes industriales. Se pueden clasificar por el modus operandi del atacante - si bien el efecto puede ser distinto para un mismo tipo de ataque: ● Virus informático: malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos. ● Phishing: suplantación de identidad (describir someramente). ● Ingeniería social (describir someramente). ● Denegación de servicio (describir someramente). ● Spoofing: de ARP, DNS, IP, DHCP, (aclarar siglas o poner nota al pie). 2.8 Autoría de un Atentado en el Ciberespacio Los ataques dentro de la jurisdicción del ciberespacio pueden ser clasificados en función de su impacto y autoría[119]: ● Ciberataques patrocinados por el estado: los conflictos del mundo físico (aire, tierra o mar) tienen su continuación en el mundo digital del ciberespacio. En estos tiempos se han detectado ciberataques contra las infraestructuras críticas de países o contra objetivos bastante específicos, pero iguales de estratégicos. Un ejemplo ya anteriormente nombrado y muy conocidos como el ciberataque a Estonia en el 28 https://es.wikipedia.org/wiki/Publicidad https://es.wikipedia.org/wiki/Dinero https://es.wikipedia.org/wiki/Malware https://es.wikipedia.org/wiki/Computadora https://es.wikipedia.org/wiki/C%C3%B3digo_objeto https://es.wikipedia.org/wiki/Datos https://es.wikipedia.org/wiki/Computadora 2007 que afectó al funcionamiento de infraestructuras críticas del país, o el ciberataque a Georgia en 2008, entre otros[119]. ● Ataques patrocinados por organizaciones privadas: muchas organizaciones privadas tienen, como objetivo del ataque, los secretos industriales de otras organizaciones o gobiernos. Este tipo de ataques, en muchas ocasiones, se ejecutan con el apoyo gubernamental haciendo uso igualmente de Amenazas Persistentes Avanzadas[119]. ● Terrorismo, extremismo político e ideológico: los terroristas y grupos extremistas utilizan el ciberespacio para planificar sus acciones, publicitalas y reclutar adeptos para ejecutarlas. Estos grupos ya hanreconocido la importancia estratégica y táctica del ciberespacio para sus intereses. Las redes sociales y los foros se han convertido en el principal instrumento utilizado por los terroristas[119]. ● Ataques del crimen organizado: las bandas del crimen organizado (ciber-gangs) han comenzado a trasladar sus acciones al ciberespacio, explotando las posibilidades de anonimato que éste ofrece. Este tipo de bandas tienen, como objetivo del ataque, la obtención de información sensible para su posterior uso fraudulento y consecución de grandes beneficios económicos[119]. ● Hacktivismo: durante 2011, el hacktivismo se ha convertido en una de las mayores amenazas para los gobiernos y organismos. Este movimiento tiene como principios el anonimato y la libre distribución de información a través del ciberespacio, esencialmente a través de Internet. Los hacktivistas se agrupan de manera descentralizada utilizando el underground de Internet para comunicarse y planificar sus acciones. Entre estos grupos se encuentran Anonymous o Lulzsec, pero no son los únicos. Su misión es ‘atacar’ el ciberespacio que represente a personas, empresas u organizaciones que atente contra alguno de sus principios o intereses. Tanto es así que el ciberespacio de los gobiernos de la mayoría de los países del mundo, bancos, empresas de telecomunicaciones, proveedores de infraestructuras críticas, proveedores de servicios de Internet y en definitiva todo el ciberespacio es susceptible de recibir ataques de denegación de servicios o ser hackeados con el objetivo principal de robar información sensible que posteriormente será distribuida en Internet para libre acceso[119]. ● Ataques de perfil bajo: este tipo de ataques son ejecutados, normalmente, por personas con ciertos conocimientos en TIC (por sus siglas en inglés, Technology and Information Communications) que les permiten llevar a cabo ciberataques de naturaleza muy heterogénea y por motivación, fundamentalmente, personal[119]. ● Ataques de personal con accesos privilegiados: este grupo supone una de las mayores amenazas para la seguridad del ciberespacio de las naciones y empresas ya que suelen ser parte integrante de todos los ataques arriba expuestos. Desde un espía infiltrado por un estado, a un empleado captado por bandas de terroristas o cibercriminales pasando por un empleado descontento, todos ellos pueden ser considerados intrusos[119]. 29 2.9 Bases de la Seguridad Hablar de seguridad teleinformática en términos absolutos es imposible y por ese motivo se habla más bien de fiabilidad del sistema que, en realidad es una relajación del primer término. Definimos la fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él. En general, un sistema será seguro o fiable si podemos garantizar cinco aspectos[121]: ● Confidencialidad: acceso a la información solo mediante autorización y de forma controlada. ● Integridad: modificación de la información solo mediante autorización. ● Disponibilidad: la información del sistema debe permanecer accesible mediante autorización. ● Autenticación o Autentificación: propiedad que permite identificar el generador y origen de la información. ● No repudio o irrefutabilidad: la información se garantiza tanto que sale de origen como que llega a destino. Existe otra propiedad de los sistemas que es la confiabilidad, entendida como el nivel de calidad del servicio que se ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estaría al mismo nivel que la seguridad. En este caso mantenemos la disponibilidad como un aspecto de la seguridad[49]. 2.10 Procedimientos de Seguridad en Sistemas Teleinformáticos Los procedimientos de seguridad son técnicas que se utilizan para implementar un servicio de seguridad, es decir, aquel mecanismo que está diseñado para detectar, prevenir o recuperarse de un ataque de seguridad[48]; dicho de otra manera, para cumplir con los cinco aspectos que garantizan que un sistema sea seguro o fiable. Los mismos son: ● Encriptación: proporciona confidencialidad de la información y se lleva a cabo por medio de la criptografía simétrica y/o asimétrica. ● Firma digital: se lleva a cabo por medio de la criptografía asimétrica y asegura la integridad, no repudio y autenticidad del mensaje. ● Control de acceso: garantiza la autenticación y autorización. Utiliza la identidad autenticada para determinar y aplicar los derechos de acceso correspondientes a la misma, de forma que si la entidad intenta acceder a un recurso no autorizado, este mecanismo rechazará dicha acción. ● Redundancia: provee disponibilidad tanto de la información como de los servicios en caso de compromiso de los mismos. 30 2.11 Vulnerabilidad Según Common Vulnerabilities and Exposures (CVE), una vulnerabilidad es una debilidad en el código de software o hardware que puede afectar la confidencialidad, integridad o disponibilidad de un sistema, cuando esta misma es explotada. Algunos ejemplos podrían ser los ataques de denegación de servicios, acceso no autorizado, entre otros. Esto difiere de una exposición, que es un problema de configuración o software que puede usarse como un trampolín hacia el sistema. Por lo tanto, una exposición no permite el compromiso directo de un sistema, pero puede ser un componente importante de un ataque, por ejemplo, un estado que permite recopilar información de actividades maliciosas o esconder actividades maliciosas. OWASP (Open Web Application Security Project), por otro lado, define el término “vulnerabilidad” de manera más vaga para incluir cualquier debilidad que pueda causar daño a las partes interesadas y el Top Ten ranking de OWASP incluye tanto vulnerabilidades directas como exposiciones indirectas. Según Bilge y Dumitras, el ciclo de vida de una vulnerabilidad cuenta con seis etapas: ● Vulnerabilidad introducida ● Explotación lanzada en todo el mundo ● Vulnerabilidad revelada al público ● Vulnerabilidad descubierta por el proveedor ● Firmas de antivirus y detectores de intrusión publicadas ● Implementación de parches Las vulnerabilidades de un software pueden variar desde errores de implementación local hasta fallas del diseño a nivel superior. La diferencia es la cantidad de código que se debe considerar para divulgarlo. Los errores más simples, como las llamadas a sistema inseguras, viven en una línea de código aislada y pueden detectarse con un análisis léxico. Otras vulnerabilidades dependen del comportamiento de varias funciones, y estas pertenecen a un rango medio de errores. Al más alto nivel, están las fallas lógicas en el diseño, y estos errores requieren una gran experiencia y conocimiento para detectarlos, por lo que se debe considerar cómo funcionan juntos varios componentes. Las fallas de diseño ocurren en la fase de diseño del desarrollo de software, mientras que las fallas de implementación, ocurren en la fase de codificación del mismo. McGraw compara la construcción segura de software con la construcción de una casa. El tipo de ladrillo que se utiliza es importante, pero es aún más importante que la casa esté diseñada para tener cuatro paredes y un techo. En el pasado, la seguridad del software ha prestado mucha más atención a los ladrillos que a las paredes. El ranking Top Ten de vulnerabilidades expuesto por OWASP puede ocurrir tanto en la fase de diseño como en la fase de implementación. 31 2.12 OWASP Top Ten Este ranking es un documento de conocimiento estándar compartido públicamente para desarrolladores de aplicaciones Web. Esta lista contiene las diez vulnerabilidades de seguridad de aplicaciones web más críticas según la fundación, y es desarrollada por expertos en seguridad en aplicaciones web en todo el mundo pretendiendo actualizarse cada tres años. Su objetivo es educar a las empresas y desarrolladores sobre cómo minimizar los riesgos de la seguridad de las aplicaciones. La última actualización de la lista se publicó en el 2021, mientras que la actualización anterior fue en el 2017. Los diez principales riesgos de la
Compartir